一个网络犯罪组织接管了巴西一家银行主要的在线业务, 为期五个小时。黑客破坏了银行的 dns 系统, 并截获了所有其与金融机构的联系。根据卡巴斯基实验室的调查, 攻击较为复杂, 攻击者使用了有效的 ssl 数字证书和Google云,以便支持其伪造的银行基础架构。
卡巴斯基实验室没有透露被攻击的银行的名字,但攻击者泄露了36个属于银行的域名, 包括内部电子邮件和 ftp 服务器。黑客入侵了dns提供商Registro.br 的域名服务后, 对银行的 dns 进行了控制。目前还不清楚黑客是如何破坏 dns 提供商的, 但专家们认为, 网络攻击至少已经准备了五个月。
虽然接管银行业务只有5个小时 但攻击者获得数据量庞大
袭击发生在2016年10月22日, 历时五个小时, 袭击者可能捕获了世界各地数以百万计的银行客户交易。当银行客户尝试访问该银行提供的在线服务时, 他们会看到伪装成 Trusteer 银行安全插件应用程序,但实际上已经感染了恶意软件。恶意软件旨在禁用受害者的安全防护软件并窃取登录凭据、电子邮件联系人列表以及电子邮件和 ftp 账户。
恶意代码针对许多国家的银行的设置了攻击列表, 包括巴西、美国、英国、日本、葡萄牙、意大利、中国、阿根廷和开曼群岛。攻击者使用了一个模块化的恶意软件, 可以感染 windows 和 mac os。
恶意软件目前被识别为Trojan-Downloader.Java.Agent, Trojan.BAT.Starter, not-a-virus:RiskTool.Win32.Deleter,Trojan-Spy.Win32.Agent
在五小时攻击期间, 骗子还对特定的银行客户发起了钓鱼攻击,失窃的信息被黑客送往加拿大的一台服务器,
虽然原因很没有查明 但安全专家发现了银行业务安全上很多的问题
专家们解释说, 这是他们第一次观察到如此大规模的袭击。"据我们所知, 之前从未发生过此类大规模攻击" ,卡巴斯基实验室住拉丁美洲研究和分析小组的主任 Dmitry Bestuzhev 解释说。卡巴斯基的专家们强调, dns 供应商 Registro.br 修复了其网站上的一个跨站请求伪造漏洞, 攻击者有可能是利用了该漏洞进行攻击。
也许他们 (攻击者) 利用该网站上的漏洞并得到控制权,也可能是攻击者针对该服务商的员工发起了网络钓鱼攻击, 我们不知道他们较初是搞定 dns 供应商的
但专家们发现,巴西银行没有启用由 Registro.br提供的双因子认证机制。卡巴斯基对一个尖端的巴西网络犯罪团伙的调查还在继续中,
"他们花了五个月等待,这不是一个新手,"